当前位置: 安全纵横 > 安全公告

一周安全动态(2014年11月27日-2014年12月04日)

来源:安恒信息 日期:2014-12

2014年12月第一周(11.27-12.04)

本周预警状态为二级:有一些严重漏洞发布或网络攻击时间有增多迹象。需对网络和主机进行必要的监控和升级。

 

 

 

1.安全新闻

1.1 安全报告称 伊朗黑客组织攻击水平远高出预期

日前,安全公司Cylance发布报告称,伊朗军方黑客组织的攻击水平似乎远远超过了人们的预想。报告指出,在过去2年时间里,该黑客组织曾在美国、韩国、以色列、巴基斯坦等16个国家攻击过50多个目标,以航空公司、工厂、国防承包商居多。

在其中一起攻击中,该黑客组织获得了机场大门的安全控制系统访问权限,也就是说,黑客完全可以让自己的人绕过机场安检登上飞机。另外,他们还曾获得过PayPal凭证及其控制系统的访问权限。

Cylance 在报告中指出,该组织施行的攻击极为高效,并且也没有使用什么特别新颖的技术,相反完全是靠系统里的一些漏洞。虽然该黑客组织也会使用向目标发送虚假国防 承包商招聘邮件的方法,但一般情况下,他们还是更倾向把SQL植入当做攻击的第一个立足点。一旦目标感染,他们就开始获取具有更高权限的凭证、之后对主密 码列表进行再编辑并将其输送到主服务器上。据悉,这些密码文件通常都是会被发送到一个托管在加州的匿名FTP服务器上。而这些黑客特别聪明的一点是,他们 会把将储存在邮件中的这些文件打上伟哥销售的标签,这样工作人员就不会生疑,一般也不会再去查看第二次。

今年2月,《华尔街日报》曾报告过伊朗黑客攻击美军网络的新闻。该家媒体指出,这表明这家公司在做了多年军事恶意软件的目标之后开始反击。Cylance这次公布的报道正好证明了这点。

1.2 美司法部计划新建执法组 预防与打击网络犯罪

据路透社消息,在继一系列重大网络安全事故后,尤其是索尼影业发生的电影外泄攻击事件,美国司法部今日宣布其计划在刑事部门创建一个执法组(Unit),专门用来预防和 打击针对私营企业的网络犯罪,并旨在消除公众对斯诺登事件后对政府监控不信任造成的影响。这一新的执法组将下属于计算机犯罪与知识产权分部,并将对政府提 供针对监控的网络调查建议,与执法官员共同合作,帮助私营企业预防网络攻击等犯罪行为。

美国司法部刑事部门主管Lesilie Caldwell表示,“既要有强大的执法政策,同时也需要具备广泛的预防对策,这对于我们打击及处理来自多方面的网络犯罪威胁而言十分重要”

与此同时,FBI以及其他调查机构正在积极开展对索尼影业泄漏事件的调查。不仅未出版的影片遭遇泄漏,用户的私人数据也被公之于众。据称,该起攻击疑似与朝鲜有关,但朝鲜方面否认了这一说法。

1.3 斯诺登称美国政府攻击全球移动通信网络

The Intercept网站周四公布的来自爱德华·斯诺登(Edward Snowden)的文件显示,美国国家安全局(以下简称“NSA”)在过去多年时间里曾对全球移动通信网络进行黑客攻击,试图绕开或破坏其信息安全机制。这些文件曝光了代号为AURORAGOLD的机密行动,这一行动的目标是收集关于移动运营商内部系统的信息,以找到其漏洞,供NSA随后的黑客攻击使用。


NSA渗透了全球大部分国家的移动通信网络

报道称,截至2012年5月,通过这一行动,NSA获得了全球约70%移动通信网络的技术信息。

去年,斯诺登公布的另一些文件已经显示,NSA利用过时,但仍被广泛使用的加密技术(即A5/1协议),对通话和文字信息进行间谍活动。而最新曝光的信息则显示,NSA也试图攻击更新、更强大的手机加密技术,例如A5/3。

为了实现这一目标,NSA窃取了移动运营商员工的内部邮件,并对位于伦敦的移动通信行业组织GSM协会展开了间谍活动。GSM协会的成员包括Verizon、AT&T和沃达丰等全球数百家运营商,以及微软、Facebook、诺基亚和三星等科技公司。

The Intercept网站还发布了一份绝密地图。地图显示,NSA已经实现了深层的“网络覆盖”,几乎覆盖了全球每一个国家。今年早些时候,斯诺登提供的文件显示,NSA已经有能力监控两个国家的整个移动通信网络,包括巴哈马和阿富汗。

去年,有消息称,NSA正在秘密开发多种方式,以绕开互联网上的多种加密技术。

信息安全专家认为,NSA的行为具有很大的危险性。因为,如果NSA找到了技术漏洞,但又不通知相关厂商进行修复,那么任何其他人都可以利用这些漏洞。

1.4 美国国家安全局依靠窃取标准制定者电子邮件击败手机加密功能

一份最新报告披露,美国国家安全局努力在破解能力上领先电信/移动运营商的加密能力,以保持持续窃听电话。目前,美国国家安全局一直能够击败手机加密措施,甚至是在4G标准实施之前。这份报告表示,美国国家安全局在大多数情况下,会主动入侵标准制定者的电子邮箱。

这些入侵行动归于一个叫作Auroragold的项目,该项目一直在入侵1200多参与手机加密标准制定者的个人电子邮箱,以搜集相关资料,包括总部设在伦敦,有影响力的GSM协会。

美国国家安全局一直在努力对手机监控,近年来,美国电话当中只有20%到30%被NSA真正破解搜集,因此,Auroragold项目是NSA努力追赶手机 加密脚步的自然行为。但是,NSA这项举动也有风险在其中,即GSM协会成员有可能开始疏远NSA,其中包括物理基础设施合作伙伴和大型IT公司,如 Facebook,微软和AT&T。

GSM协会代表表示,GSM协会的律师正在进行相关调查,如果发现NSA入侵电子邮箱的证据,他们就会把其交给警方处理。

1.5 朝否认与索尼遭网络袭击有关 称已禁止黑客袭击

外媒称,朝鲜严厉驳斥有关朝鲜对索尼影视娱乐有限公司进行网络黑客袭击的指称。

据美国之音电台网站12月4日报道,一名驻纽约的朝鲜外交官12月3日说,朝鲜与日前造成索尼好莱坞工作室电脑系统崩溃的网络袭击毫无关系。

这名不愿透露姓名的官员说:“将朝鲜与索尼遭袭一事联系起来纯属针对朝鲜的再一次肆意捏造。”

他声称:“朝鲜已经公开宣布将遵守禁止网络黑客袭击与盗版侵权行为的国际规范。”

报道称,这是朝鲜首次否认与索尼遭受网络袭击有关。此前平壤对这一指称保持缄默,导致外界广泛猜测平壤可能是袭击的幕后黑手。

【延伸阅读】朝鲜为何成为索尼被黑头号嫌疑犯

从韩国边境“参观”朝鲜的游客

导语:美国《商业周刊》网络版周二刊文,解释了朝鲜为何成为索尼被黑事件的最大嫌疑人,以及朝鲜可以借助此举达成的目的。

以下为文章全文:

索尼被警告了。在发现该公司计划推出一部以刺杀金正恩为主线的喜剧电影后,朝鲜于今年6月宣战。与此同时,朝鲜外交部发言人也表示,所有朝鲜人都将“无情地毁灭任何敢于伤害和攻击我们最高领袖的人,哪怕是一点点的伤害。”

正是由于发出了这些威胁,朝鲜成了索尼影业上周被黑事件的主要嫌疑人。攻击者窃取了多部索尼影片,包括布拉德·皮特(Brad Pitt)主演的《狂怒》和翻拍片《安妮》(Annie),这些影片都已经出现在网上。不过,黑客并没有将《采访》(The Interview)一片放到网上,而该片恰恰是朝鲜与索尼的冲突根源。

调查正在进行之中,美国联邦调查局(以下简称“FBI”)也已经介入此事。现在就对朝鲜是否为幕后黑手下判断还为时尚早,但网络安全公司 CyberSponse CEO兼创始人乔·卢米斯(Joe Loomis)接受彭博电视台采访时说,目前的证据和事实都指向了朝鲜。

他还补充说,此事成为“一个国家攻击一家公司”这种新型战争的典型案例。

朝鲜显然拥有足够的资源实施这种黑客攻击。韩国调查人员怀疑,该国的银行和广播公司去年遭受的黑客攻击也是朝鲜所为。澳大利亚国立大学亚太学院研究员里奥尼德·佩特罗夫(Leonid Petrov)表示,在朝鲜人民军的保护下,该国拥有一支强大的专业黑客部队。

朝鲜的目标之一,是向全世界展示其黑客能力。澳大利亚战略政策学院国际网络政策中心主任托比亚斯·费金(Tobias Feakin)估计,身为朝鲜网络部队核心的121部队约有1500人。“该国领导人很愿意使用他们的网络攻击能力。”他说,“他们似乎不惮于动用网络力 量。”

之所以出现这种情况,一定程度上是因为国家支持的黑客行为很难证实。费金表示,朝鲜已经证明,“它是一个遵守规则的国家”。虽然韩国是全球网速 最快的国家之一,但朝鲜在网络世界却没有多少存在感。“他们不容易成为网络攻击的目标,所以这反而成了一种优势。”他说。因此,网络攻击成了一种表达愤怒 的理想媒介,“几乎不会有什么后果。”

朝鲜或许有很强的“作案动机”,但目前仍缺乏明确证据证明该国就是索尼被黑案的罪魁祸首。不过,如此之大的作案嫌疑,已经足以成为朝鲜的胜利。“即使朝鲜没有做这件事情,这也帮助他们履行了承诺:对践踏其伟大领袖形象的人施以无情的报复。”佩特罗夫说。


2 本周关注病毒

2.1 Backdoor.Win32.PcClient.shu(后门病毒)

警惕程度 ★★

该病毒运行后会在系统目录下释放一个dll,黑客通过该病毒释放的dll,可以完全控制中毒电脑,实施文件查看及上传、截屏、开启摄像头等多种功能。

2.2 Worm.Mail.NetSky.lz(蠕虫病毒)

警惕程度 ★★

病毒运行后自我复制直系统文件夹下,修改注册表实现开机自启动,同时病毒还将在硬盘各分区中大量自我复制,并通过电子邮件软件实现自我传播。用户电脑一旦中毒,将面临系统运行缓慢,硬盘资源被大量占用等问题。

2.3 Trojan.PSW.QQPass!47FC(木马病毒)

警惕程度 ★★★★

病毒伪装成免费在线刷Q币程序,诱骗用户输入用户名及密码。用户一旦轻信,账号信息将立刻被发送至黑客指定地址。电脑一旦中毒,用户将面临QQ账号被盗的风险。


3 安全漏洞公告

3.1 Kingsoft Office远程代码执行漏洞

Kingsoft Office远程代码执行漏洞

发布时间:

2014-12-02

漏洞编号:

BUGTRAQ ID: 71381
CVE ID: CVE-2014-2271

漏洞描述:

Kingsoft Office是免费的办公室软件套装,包括Writer, Presentation, Spreadsheets。Kingsoft Office 5.3.1及其他版本在实现上存在安全漏洞,成功利用此漏洞可使攻击者执行中间人攻击,在受影响应用上下文中执行任意代码。

安全建议:

目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:http://www.kingsoft.com/

3.2 Adobe Reader及Acrobat安全限制绕过漏洞

Adobe Reader及Acrobat安全限制绕过漏洞

发布时间:

2014-12-02

漏洞编号:

BUGTRAQ ID: 71366
CVE ID: CVE-2014-9150

漏洞描述:

Adobe Reader(也被称为Acrobat Reader)是美国Adobe公司开发的一款优秀的PDF文档阅读软件。Acrobat是1993年推出针对企业、技术人员和创意专业人士的系列产品,使智能文档的传送和协作更为灵活、可靠和安全。
Adobe Reader及Acrobat 11.0.09之前版本(Windows)的MoveFileEx调用挂勾功能存在竞争条件,攻击者通过NTFS连接攻击,利用此漏洞可绕过沙盒保护机制,并在任意位置写文件。

安全建议:

目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:http://www.adobe.com/support/security/
https://code.google.com/p/google-security-research/issues/detail?id=103

3.3 Python dumbdbm "eval()"任意代码执行漏洞

Python dumbdbm "eval()"任意代码执行漏洞

发布时间:

2014-12-01

漏洞编号:

 

漏洞描述:

Python是一种面向对象、直译式计算机程序设计语言。
Python 2.7.8及其他版本的dumbdbm模块没有正确过滤.dir数据库备份文件内在输入,即将其用于"eval()"调用内,攻击者通过诱使用户打开构造的数据库,利用此漏洞可在Python代码内注入及执行任意代码。

安全建议:

目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:http://bugs.python.org/issue22885

3.4 Apache HTTP Server 'LuaAuthzProvider'授权绕过漏洞

Apache HTTP Server 'LuaAuthzProvider'授权绕过漏洞

发布时间:

2014-12-01

漏洞编号:

BUGTRAQ ID: 71353

漏洞描述:

Apache HTTP Server是Apache软件基金会的一个开放源码的网页服务器,可以在大多数计算机操作系统中运行,由于其多平台和安全性被广泛使用,是最流行的 Web服务器端软件之一。它快速、可靠并且可通过简单的API扩展,将Perl/Python等解释器编译到服务器中。
Apache HTTP Server中的"LuaAuthzProvider"在实现上存在参数混淆问题,攻击者可利用此漏洞绕过授权,从而获取敏感信息。

安全建议:

目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:http://httpd.apache.org/

3.5 多个IBM QRadar产品会话截持漏洞

多个IBM QRadar产品会话截持漏洞

发布时间:

2014-12-01

漏洞编号:

BUGTRAQ ID: 71348
CVE ID: CVE-2014-4831

漏洞描述:

IBM Security QRadar Risk Manager是监控网络设备配置及合法性的自动化风险管理平台。
IBM Security QRadar SIEM,QRadar Risk Manager 7.1、7.2,QRadar Vulnerability Manager 7.2在实现上存在会话截持漏洞,攻击者可利用此漏洞在未授权的情况下访问受影响应用。

安全建议:

目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:http://www-01.ibm.com/support/docview.wss?uid=swg21691211
http://xforce.iss.net/xforce/xfdb/95581